RiskNote
Kattava opas

Näin teet riskianalyysin

Kaikki mitä tarvitset jäsennellyn riskianalyysin toteuttamiseen — menetelmästä ja viitekehyksistä käytännön mallipohjiin ja työkaluihin.

By Kim Borg, VER&IT:n ja RiskNoten perustaja. Yli 25 vuoden kokemus tietoturvallisuudesta ja riskienhallinnasta. · Last updated

Mitä riskianalyysi on?

Riskianalyysi on jäsennelty menetelmä organisaation tavoitteisiin, omaisuuteen tai toimintoihin vaikuttavien riskien tunnistamiseksi, arvioimiseksi ja priorisoimiseksi. Tarkoituksena on tuottaa perusta hyvin perustelluille päätöksille siitä, miten riskejä hallitaan — pienentämällä, siirtämällä, hyväksymällä tai välttämällä niitä.

Kattava riskianalyysi sisältää kuusi ydinkomponenttia:

  • Suojattavat kohteet

    Mitä täytyy suojata — tiedot, ihmiset, talous, brändi, saatavuus.

  • Uhat ja haavoittuvuudet

    Mitä voi mennä pieleen — kyberhyökkäyksistä ja toimittajahäiriöistä henkilöstövajeisiin.

  • Todennäköisyysarvio

    Kuinka todennäköistä on, että jokin tapahtuu, historian ja toimintaympäristön perusteella.

  • Seurausarvio

    Kuinka vakava lopputulos on, ilmaistuna mitattavilla suureilla (raha, käyttökatko, asiakkaiden menetys).

  • Riskin arviointi

    Todennäköisyyden ja seurauksen yhdistäminen suhteessa organisaation riskinottohalukkuuteen.

  • Toimintasuunnitelma

    Mitä asialle tehdään — omistajineen, määräaikoineen ja seurantoineen.

Riskianalyysi on järjestelmällisen turvallisuustyön perusta viitekehyksissä kuten ISO 31000, ISO 27005, NIS2, GDPR ja ISO 27001. Joissakin yhteyksissä (erityisesti työturvallisuudessa) prosessia kutsutaan riskinarvioinniksi — termejä käytetään usein synonyymeina.

Miksi riskianalyysi on tärkeä?

Riskianalyysi on tärkeä kolmesta syystä.

Sääntelyvaatimusten täyttäminen. NIS2, GDPR, ISO 27001, DORA ja vastaavat säädökset edellyttävät dokumentoitua riskienhallintaa. Ilman riskianalyysiä organisaatio ei pysty osoittamaan, että turvallisuustyö on järjestelmällistä.

Resurssien priorisointi. Yhdelläkään organisaatiolla ei ole rajatonta turvallisuusbudjettia. Riskianalyysi osoittaa, mitkä riskit kannattaa oikeasti käsitellä ensin — todennäköisyyden, seurausten ja toimenpiteiden kustannusten perusteella.

Johdon päätöksenteon tuki. Riskianalyysi kääntää tekniset ja operatiiviset riskit kielelle, jonka perusteella johto ja hallitus voivat toimia. Se tekee turvallisuudesta liiketoiminta-asian, ei IT-asian.

Näin toteutat riskianalyysin — seitsemän vaihetta

Tiivistetty versio jäsennellystä menetelmästä. Kukin vaihe linkittyy syventävään artikkeliin.

  • Vaihe 1 — Tunnista suojattavat kohteet

    Aloita listaamalla, mitä organisaation todella täytyy suojata: tiedot, saatavuus, taloudelliset varat, brändi, ihmiset, vaatimustenmukaisuus. Ilman suojattavia kohteita riskianalyysistä tulee abstrakti harjoitus. Lue lisää: Suojattavien kohteiden tunnistaminen →

  • Vaihe 2 — Määritä laajuus

    Päätä selkeästi, mitä kuuluu laajuuteen — koko organisaatio, tietty prosessi, järjestelmä tai toimitusketju. Määritä aikahorisontti ja mukana olevat sidosryhmät. Lue lisää: Laajuus ja rajaukset →

  • Vaihe 3 — Tunnista uhat ja riskit

    Järjestelmällistä, poikkitoiminnallista työtä. Käy läpi uhat suojattavan kohteen, uhkakategorian (kyber, fyysinen, henkilöstö, toimittaja, sääntely) ja skenaarion mukaan. Ota mukaan sekä IT että liiketoiminta. Lue lisää: Uhkien ja riskien tunnistaminen →

  • Vaihe 4 — Arvioi todennäköisyys ja seuraukset

    Käytä 5×5-matriisia selkeästi määritellyillä asteikoilla. Määritä, mitä kukin taso todella tarkoittaa — rahassa, käyttökatkoina, asiakkaiden menetyksenä tai muuna mitattavana suureena. Lue lisää: Todennäköisyys ja seuraukset →

  • Vaihe 5 — Priorisoi toimenpiteet

    Lopputulos ei ole punaiset solut matriisissa — se on priorisoitu toimenpidelista. Valitse strategia kullekin riskille: pienennä, siirrä, hyväksy tai vältä. Priorisoi vaikutuksen ja panostuksen suhteen mukaan. Lue lisää: Toimenpiteiden priorisointi matriisin tuolla puolen →

  • Vaihe 6 — Pidä analyysi elävänä

    Riskianalyysi ei ole kertaprojekti. Tarkista säännöllisesti ja päivitä poikkeamien, muutosten ja uusien sääntelyvaatimusten yhteydessä. Selkeä omistajuus on välttämätöntä. Lue lisää: Analyysin pitäminen elävänä →

  • Vaihe 7 — Kartoita viitekehykset

    Varmista, että riskianalyysi täyttää sovellettavien viitekehysten vaatimukset — ISO 27001, NIS2, GDPR, DORA tai muut. Lue lisää: Riskianalyysi ja vaatimustenmukaisuus →

[Lue koko pääopas vaihe vaiheelta →](/guide/genomfora-riskanalys)

Yleiset viitekehykset ja standardit

Eri viitekehykset asettavat erilaisia vaatimuksia riskianalyysin toteuttamiselle ja dokumentoinnille.

  • ISO 31000 — Yleinen riskienhallinta

    Kansainvälinen standardi riskienhallinnalle yleisellä tasolla. Määrittelee periaatteet, viitekehyksen ja prosessin. Toimii muiden standardien perustana. Lue lisää ISO 31000:sta →

  • ISO 27005 — Tietoturvariskit

    Keskittyy erityisesti tietoturvallisuuteen liittyviin riskeihin. Täydentää ISO 27001:tä ja tarjoaa yksityiskohtaisen metodologian riskien arviointiin.

  • ISO 27001 — Tietoturvallisuuden hallinta

    Edellyttää dokumentoitua riskinarviointia ja riskinkäsittelysuunnitelmaa. Riskianalyysi on keskeinen osa sertifiointia. Lue lisää ISO 27001:stä →

  • NIS2-direktiivi

    Suomen lainsäädäntöön vuodesta 2025 alkaen. Edellyttää riskienhallintakeinoja keskeisiltä ja tärkeiltä toimijoilta kriittisessä infrastruktuurissa, terveydenhuollossa, julkisessa hallinnossa ja muualla. Lue lisää NIS2:sta →

  • GDPR ja DPIA

    Kun käsitellään henkilötietoja, joiden käsittely aiheuttaa suuren riskin, on suoritettava tietosuojaa koskeva vaikutustenarviointi (DPIA) — tietyntyyppinen riskianalyysi. Lue lisää GDPR-riskianalyysistä →

  • DORA — Digital Operational Resilience Act

    Sääntelee toiminnallista häiriönsietokykyä EU:n rahoitussektorilla. Edellyttää laajaa ICT-riskienhallintaa.

  • MSBFS 2020:6

    Ruotsin väestönsuojeluviraston (MSB) määräykset järjestelmällisestä tietoturvallisuustyöstä valtion viranomaisille.

[Mikä viitekehys koskee organisaatiotasi? →](/guide/genomfora-riskanalys#step-7)

Bruttoriski, nettoriski ja jäännösriski

Kypsä riskianalyysi erottaa kolme riskimittaria kutakin riskiä kohti. Nämä ovat termit, joita ISO 27001 -auditoijat ja hallitukset odottavat näkevänsä:

  • Bruttoriski (inherentti riski)

    Riski ilman mitään kontrolleja tai käsittelytoimenpiteitä. Kuinka pahaksi se voisi pahimmillaan mennä? Välttämätön investointien perustelemiseksi.

  • Nettoriski / jäännösriski

    Riski olemassa olevien kontrollien huomioimisen jälkeen. Tätä arvoa verrataan riskinottohalukkuuteesi.

  • Tavoiteriski

    Taso, johon pyritään suunniteltujen käsittelytoimenpiteiden jälkeen. Nettoriskin ja tavoiteriskin välinen kuilu osoittaa, ovatko suunnitellut toimenpiteet riittäviä.

Miksi tällä on merkitystä? Riski, jolla on korkea bruttoriski mutta matala nettoriski (vahvojen kontrollien ansiosta), tarvitsee kontrollien ylläpitoa, ei uusia käsittelytoimenpiteitä. Lue lisää riskirekisterin oppaasta →

Työkalut ja mallipohjat

Kaksi resurssia, jotka nopeuttavat työtä — ilmainen Excel-mallipohja ja RiskNote-sovellus.

  • Ladattava riskianalyysin mallipohja (Excel)

    Jäsennelty Excel-mallipohja, jossa on 5×5-matriisi, suojattavien kohteiden inventaario ja toimenpidelista — rakennettu ISO 31000:n mukaisesti. Avoin lataus, ei rekisteröitymistä. Lataa mallipohja →

  • RiskNote — tekoälypohjainen riskianalyysi 20 minuutissa

    Mobiilisovellus, joka ohjaa sinut riskianalyysin läpi. Kuvaat liiketoiminnan, tekoäly ehdottaa relevantteja riskejä toimialan ja suojattavien kohteiden perusteella, ja saat jäsennellyn riskirekisterin 5×5-matriisilla 20 minuutissa. Toimii NIS2:lle, GDPR:lle, ISO 27001:lle ja ISO 31000:lle. Saatavilla iOS:lle ja Androidille, 11 kieltä. Lue lisää RiskNotesta →

Syväsukellus vaiheittain

Syventävää materiaalia menetelmän jokaisesta vaiheesta.

  • Suojattavien kohteiden tunnistaminen

    Mitä todella täytyy suojata — ja miten välttää kriittisten mutta näkymättömien kohteiden jääminen huomaamatta. Lue syväsukellus →

  • Laajuus ja rajaukset riskianalyysissa

    Miten asettaa selkeät rajaukset menettämättä riippuvuuksia. Lue syväsukellus →

  • Uhkien ja riskien tunnistaminen

    Poikkitoiminnallinen menetelmä neljästä näkökulmasta: kohde, uhkakategoria, skenaario, toimitusketju. Lue syväsukellus →

  • Todennäköisyys ja seuraukset — toimivat asteikot

    Miten määritellä 5×5-matriisin tasot mitattavilla termeillä, joita pystyy perustelemaan. Lue syväsukellus →

  • Toimenpiteiden priorisointi matriisin tuolla puolen

    Miksi punaiset solut eivät ole toimintasuunnitelma — ja miten saada eniten vaikutusta panostusta kohti. Lue syväsukellus →

  • Riskianalyysin pitäminen elävänä

    Tarkistussyklit, omistajuus ja käynnisteet, jotka pitävät analyysin poissa kaapista. Lue syväsukellus →

  • Riskianalyysi ja vaatimustenmukaisuus

    Miten kartoittaa analyysi ISO 27001:een, NIS2:een, GDPR:ään ja DORAan ilman kaksinkertaista työtä. Lue syväsukellus →

Yhteenveto

Riskianalyysi ei tarkoita tyhjän Excel-taulukon täyttämistä kategorioilla. Kyse on siitä, että ymmärretään jäsennellysti — mitä organisaation täytyy suojata, mitä voi mennä pieleen ja mitkä toimenpiteet tuottavat eniten vaikutusta panostusta kohti.

Menetelmä koostuu seitsemästä vaiheesta: suojattavat kohteet → laajuus → uhat ja riskit → arviointi → toimenpiteiden priorisointi → jatkuva seuranta → viitekehysten kartoitus.

Työkalut kuten RiskNote tekevät menetelmän useammille saavutettavaksi — korvaamatta inhimillistä harkintaa.

Ensin menetelmä. Sitten työkalut. Turvallisuus aina.

Kysymyksiä riskianalyysistä tai haluatko keskustella siitä, miten RiskNote sopii organisaatiollesi? Ota yhteyttä →

Usein kysytyt kysymykset riskianalyysistä

Kuinka usein riskianalyysi tulisi päivittää?

Riskianalyysi tulisi tarkistaa vähintään vuosittain ja aina merkittävien muutosten yhteydessä — uudet järjestelmät, uudet toimittajat, uudelleenorganisoinnit, poikkeamat tai muuttuneet sääntelyvaatimukset. NIS2:n ja ISO 27001:n alaisille organisaatioille jatkuva päivittäminen on nimenomainen vaatimus.

Mitä eroa on uhalla, haavoittuvuudella ja riskillä?

Uhka on se, mitä voi tapahtua (kiristysohjelma-hyökkäys, toimittajahäiriö). Haavoittuvuus on heikkous, joka mahdollistaa uhan toteutumisen (epäturvalliset varmuuskopiot, yksittäinen toimittaja). Riski on uhan, haavoittuvuuden ja suojattavaan kohteeseen kohdistuvan seurauksen yhdistelmä.

Mitä asteikkoa riskianalyysissa tulisi käyttää?

5×5-matriisi (todennäköisyys × seuraus) on yleisin ja useimmiten käyttökelpoisin valinta. Asteikko itsessään ei ole oleellista — tärkeintä on, että tasot on selkeästi määritelty mitattavilla termeillä ennen arvioinnin aloittamista.

Kenen tulisi toteuttaa riskianalyysi?

Riskianalyysi tulisi toteuttaa poikkitoiminnallisesti — IT, liiketoiminta, johto ja mahdollisesti ulkopuoliset asiantuntijat. Yksittäinen analyytikko jättää aina tärkeitä näkökulmia huomioimatta. Selkeä omistajuus on kuitenkin ratkaisevaa: jonkun on oltava vastuussa sen toteuttamisesta ja ajantasaisena pitämisestä.

Tarvitaanko riskianalyysi NIS2:n noudattamiseen?

Kyllä. NIS2 edellyttää riskienhallintakeinoja, ja niiden perustana on dokumentoitu riskianalyysi. Ilman sitä organisaatio ei pysty osoittamaan, että turvallisuustyö on järjestelmällistä — mikä on nimenomainen vaatimus.

Mitä eroa on riskianalyysillä ja riskinarvioinnilla?

Termejä käytetään usein toistensa synonyymeina. ISO-standardeissa riskinarviointi on kattokäsite, joka sisältää riskien tunnistamisen, riskianalyysin (todennäköisyyden ja seurausten analyysi) ja riskin evaluoinnin (vertailu kriteereihin). Arkikielessä "riskianalyysi" viittaa usein koko prosessiin.

Kauanko riskianalyysi kestää?

Perinteisellä menetelmällä (tyhjä Excel-taulukko) ensimmäisen version tekeminen vie usein useita viikkoja tai kuukausia — paljon aikaa kuluu kategorioiden jäsentelyyn ja niistä väittelyyn. Jäsennellyillä työkaluilla kuten RiskNote ensimmäinen versio voi olla valmis 20 minuutissa, minkä jälkeen sitä tarkennetaan yhdessä liiketoiminnan kanssa.

Mikä on ISO 31000?

ISO 31000 on kansainvälinen riskienhallinnan standardi. Se tarjoaa periaatteet ja viitekehyksen, jotka soveltuvat kaikkiin riskityyppeihin ja kaikkiin organisaatiotyyppeihin — ei pelkästään tietoturvallisuuteen. Sitä käytetään usein lähtökohtana ja sitä täydennetään tarkemmilla standardeilla, kuten ISO 27005.

Paljonko riskianalyysi maksaa?

Kustannukset vaihtelevat merkittävästi menetelmän mukaan. Konsulttivetoinen riskianalyysi keskikokoiselle organisaatiolle maksaa tyypillisesti 10 000–50 000 euroa. RiskNotella tai vastaavalla työkalulla kustannukset voidaan pienentää murto-osaan — ja samalla työ muuttuu myös jatkuvammaksi.

More guides

How to conduct a risk analysis

Seven steps from blank page to a working risk register.

Read guide

Risk assessment step-by-step

Build your first risk assessment in an afternoon.

Read guideBlog

A risk assessment in one afternoon

Read a shorter practical take on the same process.

Read article

Oppaasta riskirekisteriin 20 minuutissa

RiskNote ottaa tällä sivulla esitetyn menetelmän ja automatisoi sen, mikä kannattaa automatisoida. Kuvaat liiketoiminnan, tekoäly ehdottaa relevantteja riskejä, ja saat 5×5-matriisin ja toimenpidelistan. Ilmainen kokeilu.

    Riskianalyysi 2026: Kattava opas (ISO, NIS2, GDPR) | RiskNote